许多受欢迎的网站都曾遭到过黑客入侵而遭受经济损失，，，，，，，，web 误差扫描器是一种软件程序，，，，，，，，可在 Web 应用程序上执行自动黑盒测试并识别清静误差，，，，，，，，扫描程序不会见源代码，，，，，，，，只执行功效测试并实验查找清静误差。。。。。在这篇文章中，，，，，，，，我们列出了 14 个免费开源 Web 应用程序误差扫描器，，，，，，，，排名不分先后。。。。。

1.Grabber

Grabber 是一款免费开源的 Web 应用程序扫描程序，，，，，，，，可以检测 Web 应用程序中的大大都清静误差，，，，，，，，可以检测以下误差：跨站剧本，，，，，，，，SQL 注入，，，，，，，，Ajax 测试，，，，，，，，文件包括，，，，，，，，JS 源代码剖析器，，，，，，，，备份文件检查。。。。。Grabbe 仅用于测试小型 Web 应用程序，，，，，，，，由于扫描大型应用程序需要破费太多时间。。。。。此工具不提供任何 GUI 界面，，，，，，，，也无法建设任何 PDF 报告。。。。。该工具主要面向小我私家使用。。。。。

下载地点：https://github.com/neuroo/grabber

2.Vega

Vega 是一个免费开源 Web 误差扫描程序和测试平台。。。。。使用此工具，，，，，，，，您可以执行 Web 应用程序的清静性测试。。。。。该工具用 Java 编写，，，，，，，，并提供基于 GUI 的情形，，，，，，，，适用于 OS X，，，，，，，，Linux 和 Windows。。。。？？？？？？？捎糜诓檎 SQL 注入，，，，，，，，标头注入，，，，，，，，目录列表，，，，，，，，shell 注入，，，，，，，，跨站点剧本，，，，，，，，文件包括和其他 Web 应用程序误差。。。。。

下载地点：https://subgraph.com/vega/

3.Zed Attack Proxy

Zed Attack Proxy 是开源的，，，，，，，，由 AWASP 开发。。。。。适用于 Windows，，，，，，，，Unix / Linux 和 Macintosh 平台。。。。？？？？？？？捎糜谠 Web 应用程序中查找种种误差，，，，，，，，该工具简朴易用。。。。。纵然您不熟悉渗透测试，，，，，，，，也可以轻松使用此工具最先学习 Web 应用程序的渗透测试。。。。。ZAP 包括以下要害功效：阻挡署理，，，，，，，，自动扫描仪，，，，，，，，蜘蛛，，，，，，，，模糊器，，，，，，，，Web 套接字支持，，，，，，，，即插即用支持，，，，，，，，身份验证支持，，，，，，，，基于 REST 的 API，，，，，，，，动态 SSL 证书，，，，，，，，智能卡和客户端数字证书支持。。。。。

下载地点：https://github.com/zaproxy/zaproxy

4.Wapiti

Wapiti 是一个不错的 Web 误差扫描程序，，，，，，，，可审核 Web 应用程序的清静性。。。。。通过扫描网页和注入数据来执行黑盒测试，，，，，，，，实验注入有用负载并审查剧本是否容易受到攻击，，，，，，，，支持 GET 和 POSTHTTP 攻击并检测多个误差。。。。？？？？？？？梢约觳庖韵挛蟛睿何募披露，，，，，，，，文件包括，，，，，，，，跨站点剧本（XSS），，，，，，，，下令执行检测，，，，，，，，CRLF 注射，，，，，，，，SEL 注射和 Xpath 注射，，，，，，，，.htaccess 设置，，，，，，，，备份文件披露等。。。。。

下载地点：http://wapiti.sourceforge.net/

5.W3af

W3af 是一种盛行的 Web 应用程序攻击和审计框架。。。。。该框架旨在提供更好的 Web 应用程序渗透测试平台，，，，，，，，使用 Python 开发。。。。。通过使用此工具，，，，，，，，您能够识别 200 多种 Web 应用程序误差，，，，，，，，包括 SQL 注入，，，，，，，，跨站点剧本和许多其他误差。。。。。

下载地点：http://w3af.org/

6.WebScarab

WebScarab 是一个基于 Java 的清静框架，，，，，，，，用于使用 HTTP 或 HTTPS 协议剖析 Web 应用程序。。。。。使用可用的插件，，，，，，，，可以扩展该工具的功效。。。。。此工具用作阻挡署理。。。。。因此，，，，，，，，您可以审查来自浏览器并转到服务器的请求和响应，，，，，，，，还可以在服务器或浏览器收到请求或响应之前修改它们。。。。。此工具不适合初学者，，，，，，，，此工具专为那些对 HTTP 协议有很好明确并且可以编写代码的人而设计。。。。。

下载地点：https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project

7.Skipfish

Skipfish 也是一个不错的 Web 应用程序清静工具。。。。。它抓取网站，，，，，，，，然后检查每个页面是否保存种种清静威胁，，，，，，，，然后准备最终报告。。。。。该工具用 C 语言编写。。。。。针对 HTTP 处置惩罚举行了高度优化，，，，，，，，并且使用了最少的 CPU。。。。。Skipfish 声称每秒可以轻松处置惩罚 2000 个请求而无需在 CPU 上添加负载。。。。。

下载地点：https://code.google.com/archive/p/skipfish/

8.Ratproxy

Ratproxy 也是一个开源 Web 应用程序清静审计工具，，，，，，，，可用于查找 Web 应用程序中的清静误差。。。。。它支持 Linux，，，，，，，，FreeBSD，，，，，，，，MacOS X 和 Windows（Cygwin）情形。。。。。此工具旨在战胜用户在使用其他署理工具举行清静审核时通常唬唬唬唬；嵊龅降奈侍。。。。。它能够区分 CSS 样式表和 JavaScript 代码。。。。。它还支持中心人攻击中的 SSL 职员，，，，，，，，这意味着您还可以看到通过 SSL 转达的数据。。。。。

下载地点：https://code.google.com/archive/p/ratproxy/

9.SQLMap

SQLMap 是一种开源渗透测试工具，，，，，，，，它可以自动执行在网站数据库中查找和使用 SQL 注入误差的历程。。。。。它具有强盛的检测引擎和一些有用的功效。。。。。因此，，，，，，，，渗透测试职员可以轻松地在网站上执行 SQL 注入检查。。。。。

下载地点：https://github.com/sqlmapproject/sqlmap

10.Wfuzz

Wfuzz 是一个免费开源的 Web 应用程序渗透测试工具，，，，，，，，可用于强制 GET 和 POST 参数，，，，，，，，以便针对 SQL，，，，，，，，XSS，，，，，，，，LDAP 等许多类型的注入举行测试。。。。。它还支持 cookie 模糊测试，，，，，，，，多线程，，，，，，，，SOCK，，，，，，，，署理，，，，，，，，身份验证，，，，，，，，参数暴力破解，，，，，，，，多署理等。。。。。

下载地点：https://github.com/xmendez/wfuzz

11.Grendel-Scan

Grendel-Scan 是一个开源 Web 应用程序清静工具，，，，，，，，是一种用于在 Web 应用程序中查找清静误差的自动工具。。。。。许多功效也可用于手动渗透测试。。。。。此工具适用于 Windows，，，，，，，，Linux 和 Macintosh，，，，，，，，该工具用 Java 开发。。。。。

下载地点：https://sourceforge.net/projects/grendel/

12.Watcher

Watcher 是一种被动的网络清静扫描程序，，，，，，，，它不会攻击大宗请求或爬网目的网站。。。。。它是 Fiddler 的附加组件，，，，，，，，以是你需要先装置 Fiddler 然后装置 Watcher 才华使用它。。。。。

下载地点：http://websecuritytool.codeplex.com/

13.X5S

X5s 也是 Fiddler 的一个附加组件，，，，，，，，旨在提供一种查找跨站点剧本误差的要领。。。。。这不是一个自动工具，，，，，，，，您需要手动查找注入点，，，，，，，，然后检查 XSS 在应用程序中的位置。。。。。

下载地点：https://archive.codeplex.com/?p=xss

14.Arachni

Arachni 是一个开源工具，，，，，，，，专为提供渗透测试情形而开发。。。。。此工具可以检测种种 Web 应用程序清静误差。。。。。它可以检测种种误差，，，，，，，，如 SQL 注入，，，，，，，，XSS，，，，，，，，外地文件包括，，，，，，，，远程文件包括，，，，，，，，未履历证的重定向等等。。。。。

下载地点：http://www.arachni-scanner.com/